Перейти к содержимому


Фото
- - - - -

троян

троян

  • Please log in to reply
21 ответов в этой теме

#1 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 01 Январь 2012 - 02:02

Trojan.Winlock. 4089
мтс 89137738135

#2 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 01 Январь 2012 - 02:05

Смотрите здесь: http://forum.drweb.com/index.php?showtopic=292921 от конца, ориентируйтесь на картинку, а не на код.
С уважением,
Борис А. Чертенко aka Borka.

#3 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 01 Январь 2012 - 06:32

нет у него кода.
прописывается в shell
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#4 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Январь 2012 - 20:29

зашел в безопасный режим, как в реестре найти вредоносное программное обеспечениеный вирус

#5 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 03 Январь 2012 - 20:38

Алексей0802,
делайте логи по Правилам, в первую очередь cureit .

#6 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Январь 2012 - 21:43

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


"Shell"="Explorer.exe"
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#7 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Январь 2012 - 22:09

в рестре все так и стоит нажимаю Shell там прописано Explorer.exe.

#8 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Январь 2012 - 22:23

в рестре все так и стоит нажимаю Shell там прописано Explorer.exe.


Можете экспортировать полностью HKLM и HKCU ?userinit.exe и explorer.exe не изменились?

стоп....сеть работает?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#9 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Январь 2012 - 22:35

на зараженном компе смотрел реестр [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]


"Shell"="Explorer.exe". В userinit.exe написанно e:windowssystem32userinit.exe,
попробывал подключить интернетет но он не хочет включаться в безопасном режиме. попробывал также док веб почистить в безопасном режиме выдает ошибку

#10 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Январь 2012 - 22:37

В редакторе реестра по веткам HKLM и HKCU правой кнопкой-Экспорт.
Потом в архив и залить сюда www.rghost.ru
ссылку сюда
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#11 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Январь 2012 - 22:38

HKCU а там что прописывать.

#12 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Январь 2012 - 22:44

ЭКСПОРТ РЕЕСТРА
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#13 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Январь 2012 - 23:44

http://files.mail.ru/OIU2PW
http://files.mail.ru/9MV8X6

#14 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 04 Январь 2012 - 00:08

Вы два раза залили HKLM
а я просил HKCU
И в архиве!!!
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#15 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2012 - 00:15

http://files.mail.ru/831TUV

#16 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 04 Январь 2012 - 00:28

теперь файлы
explorer.exe и userinit.exe
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#17 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 04 Январь 2012 - 00:32

A чтобы интернет появился. В консоли ввести

route -f

а то у вас куча левых статических маршрутов
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#18 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2012 - 00:38

зашел в безопасный режим ввел route -f инет зароботал, а дальше мои действия.

#19 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 04 Январь 2012 - 00:42

http://wiki.drweb.com/index.php/Лечение_удаленной_машины
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#20 Алексей0802

Алексей0802

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2012 - 10:16

Здраствуйте я так понял по этой ссылке http://wiki.drweb.co...даленной_машины надо работать на зараженном компе.



Also tagged with one or more of these keywords: троян

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых